TLS på Azure: Application Gateway og Front Door

På Azure termineres TLS oftest på Application Gateway eller Front Door, ikke på selve applikationen. Det flytter certifikat-håndteringen ind i Azure — med managed certificates, listeners og custom domains — men efterlader spørgsmålet om hvad der sker bagved. Her er hvordan TLS fungerer på begge, og hvor certifikaterne lever.

Kort svar

På Azure terminerer du typisk TLS på en Application Gateway (regional L7 load balancer) eller Front Door (global edge/CDN). Begge kan bruge managed certificates som Azure udsteder og fornyer automatisk, eller dine egne certifikater fra Key Vault. En listener binder et certifikat til en hostname og port. Vil du have kryptering hele vejen til backend, slår du ende-til-ende TLS (re-encryption) til.

Application Gateway: listeners og certifikater

Application Gateway terminerer TLS i en HTTPS-listener, der binder et certifikat til en hostname og port 443. Trafikken videresendes derefter til en backend pool via en HTTP setting. Certifikatet kan enten uploades direkte eller — anbefalet — refereres fra Azure Key Vault, så fornyelse kan automatiseres:

# Listener-certifikat fra Key Vault (CLI-skitse)
az network application-gateway ssl-cert create \
  --gateway-name appgw \
  --resource-group rg \
  --name web-cert \
  --key-vault-secret-id "https://myvault.vault.azure.net/secrets/web-cert"

Refererer du Key Vault, henter Application Gateway automatisk den nyeste version af certifikatet, så en rotation i Key Vault propagerer uden manuel indgriben (med nogle minutters forsinkelse).

Ende-til-ende TLS på Application Gateway

Som standard er forbindelsen fra gateway til backend ukrypteret (offloading). Slår du ende-til-ende TLS til, gør gatewayen bridging: den terminerer klientens TLS, og opretter en ny HTTPS-forbindelse til backend. Backend skal da have sit eget certifikat, og gatewayens HTTP setting konfigureres til at stole på det (kendt root eller eksplicit backend-certifikat). Det interne backend-certifikat er det der oftest glemmes.

Front Door: managed certificates og custom domains

Front Door er Microsofts globale edge-platform. Du tilføjer et custom domain, validerer ejerskab via en DNS TXT-record, og vælger enten et Azure managed certificate (gratis, fornyes automatisk) eller dit eget fra Key Vault:

# Tilføj custom domain med managed certificate (CLI-skitse)
az afd custom-domain create \
  --resource-group rg \
  --profile-name fd-profile \
  --custom-domain-name www-example \
  --host-name www.example.com \
  --certificate-type ManagedCertificate \
  --minimum-tls-version TLS12

Managed certificates fornyes af Azure, så længe DNS-valideringen forbliver gyldig. Bruger du en CNAME mod Front Door, kræver validering at en _dnsauth TXT-record findes — fjernes den, kan automatisk fornyelse fejle stille.

Offloading vs ende-til-ende på Azure

Scenarie	Front-certifikat	Backend-certifikat
Kun terminering (offloading)	På gateway/Front Door	Intet (HTTP til backend)
Ende-til-ende TLS (bridging)	På gateway/Front Door	På backend (skal overvåges)

Det Azure ikke fortæller dig

Managed certificates fornyer sig selv — indtil DNS-valideringen brydes, et custom domain mister sin TXT-record, eller et backend-certifikat ved ende-til-ende TLS udløber uden at nogen kigger. Azure-portalen viser status pr. ressource, men sjældent et samlet billede på tværs af gateways, Front Door-profiler og backends. CertControl scanner alle jeres Azure-fronterede domæner udefra, ser den faktiske udløbsdato og kæde, og advarer i god tid — også for de interne backend-certifikater. Se ACME-pillaren og hvordan andre platforme håndterer det på F5 BIG-IP.

Ofte stillede spørgsmål

Hvad er forskellen på Application Gateway og Front Door?

Application Gateway er en regional L7 load balancer i én Azure-region. Front Door er en global edge-/CDN-tjeneste der terminerer TLS tæt på brugeren verden over. Begge terminerer TLS, men på forskelligt niveau i arkitekturen.

Hvad er en listener på Application Gateway?

En listener binder et certifikat til en bestemt hostname og port (typisk 443). Den afgør hvilket certifikat der serveres for hvilket domæne, før trafikken sendes videre til en backend pool.

Fornyer Azure managed certificates automatisk?

Ja, så længe domæne-valideringen forbliver gyldig. For custom domains på Front Door betyder det at den krævede _dnsauth TXT-record (eller CNAME-valideringen) skal blive ved med at eksistere — ellers kan fornyelsen fejle.

Hvordan får jeg kryptering hele vejen til backend på Azure?

Slå ende-til-ende TLS til på Application Gateway. Gatewayen laver da bridging: den terminerer klientens TLS og opretter en ny HTTPS-forbindelse til backend, som selv skal have et gyldigt certifikat.

Hvorfor anbefales Key Vault til certifikater?

Fordi Application Gateway og Front Door kan referere certifikatet i Key Vault og automatisk hente nyeste version. Det gør rotation centraliseret og automatiserbar i stedet for manuelle uploads pr. ressource.

Se platformen Book demo